Algemene verordening gegevensbescherming (AVG)

Door toenemende digitalisering, is het steeds vanzelfsprekender om allerlei persoonlijke gegevens uit te wisselen met diverse partijen. Vaak bewust, maar ook vaak onbewust, zoals sociale media die allerlei persoonlijke informatie verzamelen, verwerken en doorverkopen aan andere partijen. Hierdoor worden consumenten zich steeds meer bewust van hun privacy: niet iedereen hoeft alles te weten. Mogen partijen wel alles van u weten en dat met iedereen delen?

Op Europees niveau zijn privacyregels opgesteld. De regels zijn op 25 mei 2018 ingegaan.

Europese verordening

Sinds 1995 is er al een Europese privacyrichtlijn. Die was dringend aan vervanging toe. Op 4 mei 2016 is de richtlijn vervangen voor een verordening, die 20 dagen later is gepubliceerd: de General Data Protection Regulation (GDPR). In het Nederlands heet dit de Algemene Verordening Gegevensbescherming (AVG). Wij gebruiken hier verder de afkorting AVG. Er was een overgangstermijn van 2 jaar, die op 28 mei 2018 is verstreken. Sindsdien moet elke organisatie binnen de Europese lidstaten voldoen aan deze AVG.

In Nederland is de voorloper van de AVG de Wet bescherming persoonsgegevens (Wbp). Na 28 mei 2018 is deze vervallen, door inwerkingtreding van de AVG.

Versterking privacyrechten

Eén van de pijlers van de AVG is dat mensen meer mogelijkheden hebben om voor zichzelf op te komen bij de verwerking van hun gegevens. Dit uit zich onder meer in de volgende uitbreidingen van hun rechten:

  • Toestemmingsvereiste
    Organisaties moeten bewijzen dat zij toestemming hebben voor het verwerken van de persoonsgegevens van mensen. Bovendien kan die toestemming net zo makkelijk weer worden ingetrokken, als die eenmaal is gegeven. Het kan zo zijn dat een organisatie een andere (limitatief benoemde) ‘verwerkingsgrond’ heeft: een bepaalde reden om gegevens te verwerken, bijvoorbeeld omdat dit wettelijk is verplicht of omdat het noodzakelijk is voor de te verlenen dienst. In die gevallen is schriftelijk bewijs van toestemming niet altijd nodig.
  • Recht op vergetelheid
    Mensen hebben bovendien het recht om een organisatie te vragen hun persoonsgegevens te verwijderen. Sinds 25 mei 2018 kunnen zij daarnaast eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die deze gegevens van deze organisatie hebben gekregen.
    Uiteraard betekent het recht om te vragen om verwijdering niet, dat de organisatie deze verwijdering ook altijd kan doorvoeren. Op de uitzonderingen komen we later terug.
  • Recht op dataportabiliteit
    Mensen mogen hun door een organisatie verwerkte persoonsgegevens opvragen bij die organisatie. Zij ontvangen deze gegevens dan in een standaardformaat – dat noemt men ‘dataportabiliteit’ (= gegevensoverdracht). Mensen kunnen hierdoor hun gegevens makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. Zij kunnen zelfs eisen dat de organisatie hun persoonsgegevens direct doorstuurt aan de nieuwe dienstverlener, als dat (technisch) mogelijk is.

Gevolgen voor organisaties die persoonsgegevens verwerken

De impact op organisaties is groot. De hele organisatie moet zijn ingericht op de AVG. Er is een verantwoordingsplicht: die plicht houdt in dat de organisatie moet aantonen dat ze zich aan de wet houdt. Houdt een organisatie zich er niet aan, dan kan ze een boete krijgen van maximaal €20 miljoen of 4% van de wereldwijde omzet.

De versterking van de privacyrechten zoals hierboven omschreven, betekent onder meer dat organisaties:

  • Niet méér persoonsgegevens mogen opvragen dan ze minimaal nodig hebben om te kunnen doen wat ze moeten doen
  • De persoonsgegevens niet langer bewaren dan strikt noodzakelijk is
  • De persoonsgegevens niet doorsturen naar andere partijen, als dit niet noodzakelijk is
  • De persoonsgegevens niet gebruiken voor andere doeleinden dan het oorspronkelijke doel
  • De klant duidelijk kunnen maken, hoe hun gegevens worden verwerkt en (eventueel) aan wie die gegevens worden doorgegeven (transparantieplicht)
  • Duidelijk moeten kunnen aangeven waarom bepaalde informatie nodig is

Bovendien hebben klanten altijd inzage in hun persoonsgegevens. Mocht iemand de juistheid van die persoonsgegevens betwisten, dan moet de organisatie op verzoek van die persoon de verwerking van zijn persoonsgegevens onmiddellijk stoppen.

Wat betekent dat concreet in een voorbeeldsituatie?

We geven hieronder een voorbeeld, om aan te geven wat de reikwijdte kan zijn van de AVG.

Stein, zelfstandig ondernemer, bezoekt zijn tussenpersoon Dave, omdat hij het risico van arbeidsongeschiktheid wil verzekeren en daarvoor een AOV wil afsluiten.

In het oriëntatiegesprek stelt Dave enkele vragen aan Stein om na te gaan of hij überhaupt iets voor hem kan betekenen. Dave wil onder meer weten:

  • Wat de aanleiding voor de aanvraag is
  • Wat het inkomen van Stein uit zijn bedrijf is en hoe hij zijn functie uitvoert
  • Welk bedrag hij denkt te verzekeren
  • Hoe oud Stein is en wat zijn gezinssituatie is
  • Hoe zijn fysieke gesteldheid is
  • Welke vroegere AO-verzekeringen er zijn geweest

Aandachtspunt AVG: Dave moet telkens aan Stein kunnen uitleggen waarom hij die gegevens nodig heeft. Hij moet daarbij benadrukken dat deze informatie noodzakelijk is voor de AOV-offerte voor Stein. Dave moet een ‘verwerkingsgrond’ aangeven voor het verzamelen van deze persoonsgegevens. Dave kan Stein om schriftelijke toestemming vragen, maar dat hoeft niet. Als hij kan aantonen dat de gegevens nodig zijn, hoeft hij niet om schriftelijke toestemming van Stein te vragen.

Na het oriëntatiegesprek zijn ze het erover eens dat ze verder willen in het adviestraject. Dave overhandigt het Dienstverleningsdocument aan Stein.

Als Stein nu, net voordat het adviestraject echt van start gaat, alsnog zou afzien van het advies, of Dave en Stein komen tot de conclusie dat een adviesgesprek niet zinvol is, heeft Dave geen gerechtvaardigd belang meer bij het bewaren van de gegevens van Stein. Hij moet deze vernietigen.

Dave en Stein gaan het adviestraject verder in. Dave verzoekt Stein nog veel meer persoonsgegevens te overhandigen, zodat hij een passend advies kan geven. Uiteindelijk komt Dave tot een passend advies. Stein accepteert dit advies. Het advies houdt in dat er een AOV wordt aangevraagd bij een gespecialiseerde verzekeraar.

Aandachtspunt AVG: Dave moet Stein aangeven dat het noodzakelijk is veel persoonsgegevens, waaronder ook medische, aan de verzekeraar door te geven en waarvoor die informatie belangrijk is. Ook moet Dave het vastleggen van persoonsgegevens beperken tot wat noodzakelijk is voor het advies en de afgenomen dienst en aanvraag. Specifieke medische informatie maakt daar geen deel van uit. Die informatie wordt alleen rechtstreeks tussen Stein en de verzekeraar uitgewisseld en besproken. Een algemene vraag over de gezondheid, om te beoordelen of Stein normaal geaccepteerd kan worden, mag wel door Dave gesteld worden.

De aanvraag voor de AOV wordt conform het advies geaccepteerd. De polis wordt zonder bijzondere voorwaarden opgemaakt en de dekking wordt geactiveerd.

Dave mag de gegevens uit het adviesdossier van Stein bewaren. Sterker nog: hij is wettelijk verplicht deze te bewaren om eventueel in een later stadium aan te kunnen tonen dat hij een passend advies heeft gegeven.

Er verstrijkt een jaar. De tussenpersoon waar Dave werkt, onderneemt meerdere commerciële cross-sell acties. Men hoopt daarmee hun klanten ook andere producten te verkopen, zoals auto- en kostbaarhedenverzekeringen.

Aandachtspunt AVG: Voor het doen van een dergelijke actie, is geen duidelijke noodzaak of wettelijke plicht. Toch legt de Autoriteit Persoonsgegevens (AP) uit dat het hier gaat om ‘bestaande klanten’. In dat geval is het toegestaan hen ongevraagd te benaderen met een commerciële actie. Ook als daarvoor geen uitdrukkelijke toestemming is gegeven. De tussenpersoon moet dan wel een eenvoudige optie aan Stein geven waarmee hij zich kan afmelden voor dergelijke acties. Als Stein nog geen klant was, dan had de tussenpersoon deze actie niet mogen ondernemen.

Stein raakt geïrriteerd over de telefoontjes van de collega’s van Dave in een poging hem meer verzekeringen te verkopen. Stein zegt: ik wil niets meer met jullie te maken hebben! Ik wil zelfs dat jullie al mijn gegevens weggooien! Jullie hebben daar niets meer mee te maken.

Aandachtspunt AVG: Hoewel Stein het ‘Recht op vergetelheid’ heeft, gaat dat in deze situatie niet volledig op. De adviseur heeft de wettelijke bewaarplicht van het adviesdossier. Dave hoeft het adviesdossier, voor zover noodzakelijk, niet te verwijderen. Maar privacygevoelige informatie die niet relevant is voor Dave om te bewaren dient hij wel te vernietigen. Tot slot zal de tussenpersoon waar Dave werkt intern moeten regelen dat Stein nooit meer gebeld wordt voor dergelijke acties.

Externe links

Informatie

  • Inkomen
  • Woensdag 25 maart 2020

KennisHub

KennisHub Pensioen- &
Life Event Advisering

  • Inspirerende Masterclasses
  • Praktijkgerichte Workshops
  • PE Artikelen & Casuistiek
  • Artikelen & Blogs
  • Stel je vraag
  • PE-geaccrediteerd
  • Mix & Match
  • Jaarlijks PE-certificaat
  • 21 dagen op proef

€ 35 p/m

Volgende licenties: 20% korting Meer Informatie

Eerst aankijken? Word Free Member

  • Wekelijkse nieuwsbrief
  • Artikelen & Blogs
  • 5+ gratis vaktechniek artikelen p/m
  • Schrijf je in voor Masterclasses & Workshops
  • Toegang tot FinSourceOne

Gratis

Volgende Free Members: 100% korting Meer Informatie